WindowsFile Server審核軟件可以跟蹤、報(bào)告重要更改并發(fā)出相關(guān)警報(bào)。MicrosoftWindows FileServer包含關(guān)鍵信息和敏感信息。但是，審核對特定文檔的文件訪問權(quán)限非常困難，導(dǎo)致違反信息安全策略和濫用訪問權(quán)限。相關(guān)問題會導(dǎo)致代價高昂的服務(wù)中斷和危害嚴(yán)重的網(wǎng)絡(luò)停機(jī)。為了避免這些問題，您需要實(shí)時了解對WindowsFile Server進(jìn)行的重要更改。ChangeAuditor for Windows File Servers可實(shí)現(xiàn)這一點(diǎn)。

ChangeAuditor for Windows File Servers是WindowsFile Server審核軟件，可通過實(shí)時跟蹤所有關(guān)鍵文件訪問權(quán)限和文件夾更改來提高WindowsFileServer的安全性并增強(qiáng)對其的控制。您可以即時了解“執(zhí)行更改的人員、更改內(nèi)容、時間、地點(diǎn)和初始工作站”詳細(xì)信息，并獲得原始值和當(dāng)前值，以進(jìn)行快速故障排除。高效且經(jīng)濟(jì)實(shí)惠地控制和審核對MicrosoftWindows File Server所做的更改。

主要優(yōu)勢

集中式審核

通過單個控制臺監(jiān)控并審核多個服務(wù)器和位置的所有文件服務(wù)器更改。

直觀顯示

使用此款Windows文件審核軟件跟蹤用戶和管理員活動，以及有關(guān)更改事件的原始值和當(dāng)前值。

ChangeAuditor Threat Detection

通過用戶行為分析主動檢測內(nèi)部威脅，并減少誤報(bào)警報(bào)的干擾。

共享審核

通過實(shí)時捕獲更改事件，確保管理員有權(quán)訪問共享文件。

對象保護(hù)

提供保護(hù)，防止重要的文件和文件夾被修改或意外刪除。

隨時隨地獲得實(shí)時警報(bào)

向電子郵件地址和移動設(shè)備發(fā)送關(guān)鍵更改和模式警報(bào)，讓您即便不在現(xiàn)場也能收到有關(guān)立即采取措施的提醒。

集成式事件轉(zhuǎn)發(fā)

與SIEM解決方案相集成，將ChangeAuditor事件轉(zhuǎn)發(fā)到Splunk、ArcSight或QRadar。

可直接呈遞審核員的報(bào)告

生成全面的妥善做法報(bào)告以符合法律合規(guī)性要求（如GDPR、SOX、PCI-DSS、HIPAA、FISMA、GLBA等）。

功能

QuestInTrust集成

將此Windows文件審核軟件與QuestInTrust相集成，實(shí)現(xiàn)20:1的壓縮事件存儲和集中化的Microsoft或第三方日志收集，進(jìn)行解析和分析并對可疑事件（例如已知勒索軟件攻擊或可疑PowerShell命令）發(fā)出警報(bào)和自動執(zhí)行響應(yīng)操作。

增強(qiáng)安全洞察

將大量系統(tǒng)和設(shè)備中的不同IT數(shù)據(jù)關(guān)聯(lián)到ITSecurity Search（一種交互搜索引擎）中，以加快安全事件響應(yīng)和取證分析速度。此款WindowsFile Server審核解決方案通過豐富的可視化和事件時間表，囊括用戶授權(quán)和活動、事件趨勢、可疑模式等。

相關(guān)搜索

只需單擊一下，便可立即訪問關(guān)于您所查看更改的所有信息以及所有相關(guān)事件（例如來自特定用戶和工作站的其他更改），從而消除額外的不確定因素和未知安全隱患。

出色的審核引擎

消除審核限制并捕獲更改信息，而無需使用Windows提供的審核日志，從而可以更快速地生成結(jié)果并節(jié)約大量存儲資源。

安全性時間表

查看、突出顯示和篩選Windows環(huán)境中隨時間推移順次發(fā)生的更改事件并發(fā)現(xiàn)它們與其他安全事件之間的關(guān)系，從而更好地進(jìn)行取證分析和做出安全事件響應(yīng)。

規(guī)格

ChangeAuditor系統(tǒng)要求

ChangeAuditor協(xié)調(diào)器（服務(wù)器端）、ChangeAuditor客戶端（客戶端）、ChangeAuditor代理（服務(wù)器端）、ChangeAuditor工作站和Web客戶端（可選組件）具有特定的系統(tǒng)要求。

ChangeAuditor協(xié)調(diào)器要求（服務(wù)器端組件）

ChangeAuditor協(xié)調(diào)器負(fù)責(zé)執(zhí)行客戶端和代理的請求并生成警報(bào)。

處理器

等效于四核英特爾酷睿i7或更高配置的處理器

內(nèi)存

最低：8GB內(nèi)存或更高配置

建議：32GB RAM或更高配置

SQLServer

最高支持以下版本的SQL數(shù)據(jù)庫：

MicrosoftSQL Server 2012 SP4

MicrosoftSQL Server 2014 SP3

MicrosoftSQL Server 2016 SP2

MicrosoftSQL Server 2017

MicrosoftSQL Server 2019

具有SQL身份驗(yàn)證或AzureActive Directory身份驗(yàn)證的AzureSQL托管實(shí)例(PaaS)

注意：性能可能因網(wǎng)絡(luò)配置、拓?fù)浜虯zureSQL托管實(shí)例配置而異。

注意：ChangeAuditor支持SQLAlwaysOn可用性組、SQL群集以及應(yīng)用了行和頁面壓縮的數(shù)據(jù)庫。

操作系統(tǒng)

最高支持以下版本的安裝平臺(x64)：

WindowsServer 2012

WindowsServer 2012 R2

WindowsServer 2016

WindowsServer 2019

WindowsServer 2022

注意：必須啟用MicrosoftWindows Data Access Components (MDAC)。（MDAC是操作系統(tǒng)的一部分，默認(rèn)情況下已啟用。）

協(xié)調(diào)器軟件和配置

為實(shí)現(xiàn)卓越的性能，Quest強(qiáng)烈建議：

在專用成員服務(wù)器上安裝ChangeAuditor協(xié)調(diào)器。

應(yīng)在單獨(dú)的專用SQLServer實(shí)例上配置ChangeAuditor數(shù)據(jù)庫。

注意：當(dāng)ChangeAuditor數(shù)據(jù)庫駐留在AzureSQL托管實(shí)例上并且選擇了AzureActive Directory身份驗(yàn)證時，需要用于SQLServer的MicrosoftODBC Driver 17。

注意：請勿為ChangeAuditor數(shù)據(jù)庫預(yù)分配固定大小。

此外，需要滿足以下軟件/配置要求：

協(xié)調(diào)器必須擁有與本地域和林根域中所有域控制器的LDAP和GC連接。

Microsoft.NET 4.7.1（x64版）

MicrosoftXML Parser (MSXML) 6.0（x64版）

MicrosoftSQLXML 4.0（x64版）

協(xié)調(diào)器占用空間

預(yù)計(jì)使用1GB的硬盤空間。

協(xié)調(diào)器占用的內(nèi)存大小主要取決于環(huán)境、代理連接數(shù)和事件量。

估計(jì)的數(shù)據(jù)庫大小因所部署的代理數(shù)量和所捕獲的審核事件數(shù)量而異。

審核編輯 ：李倩